一、医疗卫生机构做好数据安全管理的关键点
一是成立数据安全工作领导小组,通过签订安全责任书等方式规范各部门在数据安全管理全生命周期当中的权责。二是每年对数据资产进行全面梳理,依据数据重要程度以及遭到破坏后的危害程度建立本单位数据分类分级标准。三是建立完善数据使用申请及批准流程,编制安全流程和操作规程的具体表单,严格执行业务部门同意、领导核准的安全记录单核准程序,确保数据处理活动的安全合规。
二、医疗卫生数据资产管理实践
一是根据自身业务情况,对照卫生健康行业现行的、数据集相关的技术标准,对机构内的数据资产进行全面梳理。二是从患者个人信息安全的角度出发,按照数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对个人、组织合法权益造成的危害程度对数据进行分级分类。三是安排专人或专组负责,定期抽查数据分类分级的合理性和准确性,修订数据资产分类分级清单,并监督数据差异化保护措施的具体落实情况。
三、医疗卫生数据全生命周期保护
一是应当加强数据采集过程中的合法性管理。二是医疗卫生机构内部系统之间、与外部系统的数据接口之间的数据传输权限应进行严格控制。三是根据业务特点来设计与组织数据的存储与备份。四是医疗卫生机构在临床科研活动中的数据处理和使用,应结合数据分类分级结果,针对不同级别制定相应的权限,加强数据使用过程中的管理,确保数据在可控范围内使用。五是在发布、共享数据时应当评估可能带来的风险,并采取数据脱敏、水印等数据安全防护措施。六是医疗卫生机构在数据销毁阶段要使用数据无法还原的销毁方式。
(摘录:中国数字医学)
////////////////////////////////////专家点评////////////////////////////////////
高立,安徽中医药大学第二附属医院信息中心主任,高级工程师,安徽省科技成果转化促进会智慧健康专业委员会常委 |
医疗机构的数据具有高度隐私和高价值的双重特点,这意味着数据安全保护至关重要。医疗数据的泄露或遭受破坏可能对患者隐私造成严重影响并触犯法律法规,同时对医疗机构的声誉和业务运作带来负面影响。本文对数据安全保护的政策法规和标准进行了剖析研究,分析了数据破坏后的影响,提出了数据分类分级管理和数据全生命周期安全防护措施等,给医疗机构的数据安全保护工作提供了重要的参考。有助于医疗机构确保数据安全合规,提高应对数据安全风险的能力。省内医疗机构在技术保障、制定数据安全管理制度、安全监控措施、安全演练等方面做了大量工作并取得了一定成效。但在数据分类分级和全生命周期管理上尚有欠缺,本文在这两方面的研究成果对省内医疗机构的数据安全保护工作具有重要的指导意义。